Главные угрозы
цифровой безопасности

В ИТ видят как источник проблем с безопасностью персональных данных, так и средство спасения, ведь хакеры обычно воруют информацию, обнаружив какой-то технологический изъян в системе. Кроме того, сети зачастую превращаются в место преступления, их устройство сбивает с толку большинство пользователей, а потому они кажутся нам подозрительными. С другой стороны, соблазнительно довериться изощренным средствам защиты: они, мол, сами по себе способны уберечь от хакеров. Но эта слепая доверчивость упускает из виду основные источники информационных рисков: культуру компании и порожденные ею формы поведения.

Два аспекта организационной культуры оказывают наибольшее влияние на безопасность данных: уровень терпимости к неудобствам и уровень сотрудничества между отделами и коллегами.

Безопасность и удобство — это противоположности. Чем выше уровень безопасности, тем больше неудобств эти меры причиняют служащим. Дополнительный замок — это еще один ключ, усложненный пароль — необходимость запоминать и набирать лишние знаки. От готовности компании терпеть подобные неудобства напрямую зависит уровень ее безопасности.

Но всего нетерпеливее, как правило, оказываются руководители, те самые лидеры, которые и формируют культуру организации. Крайний пример этого я обнаружил в известной юридической фирме: там старшие партнеры вообще отказались пользоваться паролями! В точности как политические вожди, описанные Дэвидом Халберстамом: «Блистательные и глупые».

Особенно эта склонность забывать о мерах безопасности проявляется в организациях, служащих некоей цели. Все виды деятельности, которые непосредственно направлены на выполнение миссии, автоматически получают приоритет над теми, которые кажутся маловажными и тем более над теми, которые эту цель отдаляют. В такой корпоративной культуре сотрудникам позволяют (а то и явно поощряют их) пренебрегать неудобствами, которые следовало бы терпеть ради безопасности всей организации. Тот самый фактор, который обеспечивает этим компаниям успех — их преданность делу, подвергает их серьезному риску.

Читайте материал по теме: Закон сохранения привлекательной прибыльности

В фирмах, состоящих из автономных филиалов, возникает другая проблема, также влияющая на информационную безопасность. Подобная модель складывается обычно либо исторически — потому что какие-то филиалы приобретаются постепенно: либо из-за различий в бизнес-моделях или профиле покупателей. В любом случае в такой культуре трудно поддерживать общение и единые стандарты. В результате в каждом отделе устанавливаются собственные меры безопасности, которые трудно постоянно согласовывать, и риски от этого только возрастают.

Но и фирмы, отличающиеся культурой сотрудничества, тоже склонны к рискованным практикам управления. Например, академические институты активно поощряют «беспорядочные связи», потому что хотят как можно шире распространить знания. Даже компании из сферы высоких технологий не обладают полным иммунитетом: их молодые и амбициозные коллективы противятся ограничениям и секретности.

Когда утечка данных все-таки случается, винят во всем айтишников: мол, это они не уследили за безопасностью внутренней информации. Но на самом деле все усилия ИТ-отдела по сохранению данных подрывается самой корпоративной культурой компании. Тут примешивается и организационная проблема: ИТ-отдел обычно отвечает и за внедрение технологии, и за управление информационной безопасностью; отсюда раздоры между самими айтишниками: возникает конфликт интересов.

Как могли бы организации более эффективно справляться с современными проблемами в сфере цифровых данных, приняв во внимание те источники рисков, которые таятся в самой корпоративной культуре компании?

Читайте материал по теме: Кодекс эффективного руководителя

Не так-то просто ее изменить, в особенности если угрозой обернулись те самые факторы, которые прежде обеспечивали успех. Задача не в том, чтобы радикально изменить сложившуюся культуру, но нужно внедрить в ДНК фирмы ген безопасности и поддерживать специалистов, ответственных за внедрение соответствующих технологий, не обращая внимания на недовольство пользователей, которым придется запоминать пароли. Новые правила должны исходить с самого верха, и руководители обязаны подавать личный пример.

Зато существуют способы измерения, позволяющие получить хотя бы приблизительные, но вполне годные для анализа данные об уровне безопасности — и о том, насколько усиливается или ослабевает сопротивление основным мерам защиты.

Во-первых, нужно регулярно проверять отношение пользователей к политике информационной безопасности — это прямая проверка эффективности управления. Она должна быть простой, не специфически технической, ориентированной на риски, ее следует активно распространять и демонстративно внедрять на всех уровнях корпоративной пирамиды. Политикой информационной безопасности в первую очередь определяется стратегический подход к управлению информационными рисками: она задает правила поведения для каждого служащего и объединяет отделы и филиалы в общем для компании плане безопасности.

Читайте материал по теме: Обновление бизнес-модели

Политика информационной безопасности должна опираться на ряд технических и операционных стандартов, которые принимаются с учетом реальных рисков и определяются специалистами. Она диктует выбор процедур, а стандарты указывают, как внедрять и осуществлять их.

Во-вторых, хорошим, хотя и косвенным параметром культуры безопасности является надежность пароля. Если их легко взломать или их редко меняют, то либо в этой организации политика безопасности чересчур снисходительна, либо здесь допустимо пренебрегать правилами. В целом надежность паролей и частота их обновления довольно убедительно свидетельствуют о господствующей в компании тенденции: заботятся ли здесь в первую очередь о безопасности или об удобстве своего коллектива.

Политика информационной безопасности влияет на всех сотрудников и они, в свою очередь, влияют на нее, так что даже мелкие оплошности отдельного пользователя могут привести к существенным последствиям. Важно, чтобы все специалисты знали: соблюдая политику и стандарты информационной безопасности, они укрепляют корпоративную культуру своей фирмы, а не подрывают ее.

Читайте по теме:

• Пусть NASA займется делом
• Эпоха сверхспециализации
• Осознанность, эмпатия… Или чему может научить дизайн